>Ну и? :) Протоколы/приложения, которым не пофиг, организуют свои собственные
>механизмы congestion control. Допустим есть VoIP.Как правило - UDP.Ему не пофиг латентность и потери пакетов.И его логично приоретизировать.На исходящее - фигня вопрос.А вот на вход с вашим недо-шейпингом ничего не выйдет.
>А которые нет, тех либо мало в общей доле,
Зато важные штуки бывают, типа VoIP например.
> либо для них организуются специальные политики шейпинга.
А зашейпьте-ка с вашей стороны банальный ping -f присланый снаружи в ваш тощий канал?Вот и посмотрим как ваш кульный шейпер на вход отработает, хе-хе ;).Что?Он будет выгребать столько сколько отправят или сколько пропихает канал?И даже возможно полезные пакеты (e.g. VoIP) просрутся или задержатся?Ну так какой же это тогда шейпинг и полисовка?Это так, фигня какая-то :)
>Ыыы. Идите-ка почитайте RFC. Если ремота не будет в таких вопросах кооперативна,
>у неё просто самой ничего не будет работать.
И что?А кто сказал что ремоту это вообще смущает?Если ремота скажем поставила цель испортить вам компот - это ремоте похрену.А интернет как бы уже давно не детская площадка для игры в песочек, там и поднасрать могут запросто.А также возможны разные веселые методы покладания на вашу недо-полисовку.Например, завернуть все TCP конекции в openvpn гуляющий по UDP.Далее ваша полисовка на вход немножко отправится лесом т.к. с точки зрения полисовщика будут удп-пакеты, которым не больно то окна потвикаешь и SACKов у них как бы нет, а то что там внутрях - кто ж его знает? :).С честной полисовкой так не катит.Как максимум можно проапгрейдить свой класс траффика.Но, например, вылезти за глобальный лимит скорости шейпера - проблематично.Посему нормальный шейпинг - именно вот так.На *исходящее* направление.
А так - допустим я хочу вам завалить VoIP.И введу ping -f на своей машине с толстым каналом.Вас устроит что у вас начнут гробиться VoIP пакеты в пользу бесполезного ICMP флуда оптом который займет канал на равных с VoIP если с той стороны канала не подыграют?Ну и були толку с вашей "полисовки" если она от одной команды выходит за лимиты и начинают теряться полезные пакеты?
>Если же идут атаки
Это не атаки.А просто целенаправленное забивание на халтурно сделаную полисовку работающую с левыми допущениями. См. например пример с openvpn - так можно некисло проапгрейдить себе скорость скачки у таких тупорылых полисовщиков которые с чего-то вдруг возомнили что можно нормально шейпить скорость с приемного конца медленной соски :)
>- это вообще совершенно отдельный случай, который в этом разговоре
>- как собаке пятая нога.
Ну я вам вон выше нарисовал менее атакерский случай - просто апгрейд скорости скачки путем юзания openvpn до своего хоста например :).При этом даже не требуется класть хрен на RFC, если уж вас это так смущает :).По сути - это просто нахальный абузеж вашей халтуры в полисовке.Называть это атаками - жирновато.Любой дятел с ping -f и более толстым чем у вас каналом - хакиръ чтоли?!Ха-ха-ха, ну тогда в мире миллионы "хакеров" :)
>Очень странно, почему же у меня всё прекрасно работает? :)
ИМХО по одной причине - работает ровно до тех пор пока эту полисовку не попытаются обойти а траффик соответствует тому что ожидается.Т.е. профиль траффа соответствует тому что вы ожидаете и никто не пытается испортить вам компот.А для серьезных и ответственных применений, как то например корпоративщикам VoIP приоретизировать - вот так вота опаньки будет.Для локалки в сельпо - сойдет и так, в допущении что все вокруг идиоты а вы один такой умный а потому никто и никогда не будет абузить вашу халтуру в полисовке.
И кстати нарваться на атаку - говно вопрос.Это не вы там торрент упоминали?Ну так вот, JFYI есть вагон фирм которые торренты и прочих очень не любят.Поэтому встречаются очень разные выкрутасы.Отдельные уроды узрев вас с вашим торентом шлют в вашу сторону все что угодно в надежде создать проблемы.Встречал и несколько случаев откровенного наглого флуда в мою сторону.Пару раз умудрялись в хлам засрать 10Мбит канал в интернет например (я это пролечивал сменой айпи, у прова каналы толстые... :D).
>Молодой человек, вы путаете две совершенно разные ситуации - шейпинг, рассчитанный на
>_нормальную_ работу, и DoS/DDoS-атаку.
Нет, я просто различаю *нормальный* шейпинг, который не вылезет за глобальные лимиты даже при наглежке и попытках выкрутасов равно как будет честно пытаться пихать более приоритетные пакеты нежели менее приоритетные и всякую халтуру которая работает только если ей подыгрывают с другой стороны, с вагоном оговорок и допущений, и которая легко вылезает за заданные лимиты как только траффик становится "не тот" и которая не может честно приоретизировать важные пакеты при нужде частично отбросив менее важные.
>Если вам полностью засрали входящий канал - вам ТОЧНО ТАК ЖЕ
>не поможет и шейпинг на исходящем интерфейсе.
А вот и нет.В типичном случае суммарная мощность каналов провайдера на несколько порядков больше чем тощая соска идущая от провайдера к клиенту.Поэтому если железка со стороны провайдера применит шейпинг и полисовку ее исходящего интерфейса (который с той стороны медленного канала с которого вы данные выгребаете) - все будет оки-доки.Грубо говоря, допустим у прова несколько 1Гбит каналов, засрать их нелегко.К вам соска 10 Мбит.Вам шлют вам 20 мбит флуда.Канал 10 мбит очевидно сам по себе засрется в хлам.А вот если железка у прова первыми выдавит в канал VoIP пакеты а остальное - как получится - VoIP будет без проблем летать и дальше.А остальное (включая и флуд) - как получится, ну не влезет половина флуда в канал и отправится прововской железкой в /dev/null, и чего? Ну и некоторые иные критичные типы траффика можно точно так же выделить.Равно как и более жестко заполисовать некие типы флуда.Скажем на случай козлов с ping -f можно (ессно с провайдерской стороны медленной соски) нарулить политику которая ограничивает скорость ICMP пакетов, а что сверх того - в трэш.В итоге если некто на 50 мбит канале введет в вашу сторону ping -f а у прова на железке полися что в вашу сторону не более 1 Мбит ICMP а остальное в треш - в вашем канале будет 1Мбит ICMP.Еще 49Мбит отлетят в /dev/null.Если это был все тот же 10Мбит канал, у вас останется 9Мбит свободного бандвиза и никаких проблем как бы не будет :).Единственная "проблема" что пров спускает 49 Мбит траффа вникуда.До тех пор пока его каналы не переполнены - это всем похрену.
>А весь разговор ведётся как раз про разницу входящего и исходящего.
Ну так разница в полисовке входящего и исходящего - есть.Исходящий можно честно и жестко полисовать без вольных допущений.Входящий - черта с два пополисуешь по нормальному с приемной стороны медленной соски.С прововской стороны - да, можно.Но это, пардон, провайдер может сделать с его стороны соски.А вовсе не вы... и для него это будет опять же честный шейпинг ИСХОДЯЩИХ (в вашу сторону) пакетов.
Если кто настолько дуб и еще не понял - IP так устроен что пытается доставить все пакеты которые в вас кидают вам.Сие не было сделано в рассчете на malicious use или полисовку.И нынче данное свойство немного икается, потому что не все в мире белые и пушистые а стандартных методов отказаться от получения траффика "от вон той ремоты" в IP попросту нет.Так что если кто-то вам шлет 100 мбит говна и никто (типа провайдера с более толстыми каналами) вам не поможет в фильтровке и полисовке (а по дефолту все обычно именно так) - вы будете выгребать 100 Мбит говна.Или сколько там из этого осилите :)
